Kryptographie Wie funktioniert Electronic Banking? Kurt Mehlhorn Adrian Neumann Max-Planck-Institut für Informatik

Transkript

1 Kryptographie Wie funktioniert Electronic Banking? Kurt Mehlhorn Adrian Neumann Max-Planck-Institut für Informatik

2 Übersicht Zwecke der Kryptographie Techniken Symmetrische Verschlüsselung (One-time Pad, Caesar, moderne Blockchiffres) Asymmetrische Verschlüsselung, Public-Key Kryptographie (seit 1978) Digitale Unterschriften Anwendungen: Electronic Banking, Sicherheitsinfrastrukturen

3 Kryptographie (geheim-schreiben) Hauptziele (nach Wolfgang Ertel) Vertraulichkeit / Zugriffsschutz: Nur berechtigte Personen können die Daten/Nachricht lesen. Integrität / Änderungsschutz: Daten können nicht unbemerkt verändert werden. Authentizität/Fälschungsschutz: Der Urheber der Daten oder der Absender der Nachricht soll eindeutig identifizierbar sein Verbindlichkeit/Nichtabstreitbarkeit: Urheberschaft sollte nachprüfbar und nicht abstreitbar sein.

4 Symmetrische Verschlüsselung Alice und Bob verabreden einen geheimen Schlüssel k k k m c E D Alice Eve Bob m Eve = Eavesdropper

5 Beispiel: Caesar D und E sind ein Gerät. Schlüssel k ist Drehwinkel, bzw. das Ziel von A. E liest von innen nach außen D von außen nach innen. Einfach, aber sehr unsicher; nur 26 Schlüssel.

6 Nomenklatur m = Klartext, Nachricht, message c = Geheimtext, cyphertext E und D sind (allgemein bekannte) Geräte (heute meist Programme) Werden durch den Schlüssel k personalisiert Ohne Kenntnis von k soll es praktisch unmöglich (10min, 5h, 100 Jahre) sein, m aus c zu bestimmen Für alle m und k: m = D(k, E(k,m))

7 Symmetrische Krypthographie Eine Analogie Alice und Bob kaufen sich eine Kiste und ein Vorhängeschloss mit zwei identischen Schlüsseln. Jeder bekommt einen Schlüssel. Nachrichten kommen in die Kiste, die Kiste wird verschlossen, Braucht ein Treffen oder einen vertrauenswürdigen Boten

8 One-Time Pad (Rotes Telefon) Wie Caesar, aber für jeden Buchstaben des Texts benutzt man einen eigenen Schlüssel, d.h. Schlüssel ist ein zufälliger Text (jeder Buchstabe ist gewürfelt) mit der gleichen Länge wie die Nachricht. Absolut sicher, aber Schlüssel muss genauso lang wie Nachricht sein Schlüsselaustausch ist aufwendig

9 Blockchiffrierung Nachricht wird in Blöcke der Länge b zerlegt. Jeder Block wird getrennt kodiert. Alle mit dem gleichen Schlüssel. Typische Blocklänge 64, 128, 256 Bits Schlüssellänge ähnlich, verschiende k Populäre Verfahren: DES (Data-Encryption- Standard), AES (Nachfolger) Sicherheit: 64Bit Versionen unsicher, 128Bit noch sicher,

10 Blockchiffrierung: Prinzip der Vorgehensweise Kodierung eines Blocks der Länge b = 128 Verknüpfe mit dem Schlüssel (wie im One- Time Pad) Fasse Block als Folge von 16 Miniblöcken von je 8 Bit auf. 8 Bit = Ersetze Paare von Miniblöcken nach einem festen Schema, etwa 7, , 33. Permutiere die Positionen Wiederhole 16 Mal.

11 Angriffe Caesar: Buchstabenhäufigkeit DES 56: brute-force mit Spezialhardware ENIGMA (Rätsel): Alan Turing

12 Symmetrische Verfahren Zusammenfassung Sender (Alice) und Empfänger (Bob) verabreden einen gemeinsamen Schlüssel k Dieser Schlüssel muss geheim bleiben Wie einigt man sich auf einen Schlüssel? Früher: Treffen oder Bote Heute: asymmetrisches Verfahren zum Schlüsselaustausch Beispiele: One-Time Pad, Caesar, AES128 Sehr effiziente Ver- und Entschlüsselung Bei n Teilnehmern: n x n Schlüssel

13 Asymmetrische Verfahren (seit 78) (Empfänger) Bob erzeugt Schlüsselpaar g Bob und o Bob, hält g Bob geheim, veröffentlicht o Bob Jeder, der Bob eine Nachricht schicken will, benutzt o Bob zum Verschlüsseln g Bob kann aus o Bob nach heutiger Kenntnis nicht in wenigen Jahren berechnen. Ohne Kenntnis von g Bob kann man nicht entschlüsseln

14 Ver- und Entschlüsselung m = D g Bob, E o Bob, m o Bob g Bob m E c D m Alice Eve Bob Eve = Eavesdropper

15 Asymmetrisches Verfahren Eine Analogie Bob möchte, dass man ihm geheime Nachrichten schicken kann. Er kauft sich viele identische Bügelschlösser und hinterlegt die offenen Schlösser an öffentlichen Orten Alice tut ihre Nachricht in eine Kiste, verschließt die Kiste mit dem Bügelschloss und schickt die Kiste an Bob Nur Bob kann die Kiste öffnen Vorteil: kein Treffen nötig Problem: aufwendiger, Authentifizierung, woher weiß Alice, dass das Schloss zu Bob gehört.

16 Nomenklatur E und D sind (allgemein bekannte) Geräte (heute meist Programme) Werden durch die Schlüssel personalisiert, also E Bob = E mit Schlüssel o Bob und D Bob = D mit Schlüssel g Bob E Bob ist öffentlich, nur Bob kennt D Bob

17 Erfinder RSA (Rivest-Shamir- Adleman, Turing Award), Rabin (Turing Award), 1978 Später dann Verfahren von El Gamal und Elliptische Kurven

18 Sicherheit Sicherheit von RSA Multiplizieren von 1000-stelligen Zahlen ist einfach, aber sie aus ihrem Produkt zu berechnen, dauert nach heutigem Wissen 100 Jahre El Gamal: das gleiche gilt für den diskreten Logarithmus bezüglich 2000-stelliger Primzahl 1000-stellige Primzahlen findet man leicht

19 Baby-Version von ElGamal Folge Bongartz/Unger (Alg der Woche) Annahme: Wir können multiplizieren und addieren, aber dividieren ist sehr sehr schwer, also Aus p und f kann man P = p f berechnen, aber niemand kann aus f und P = p f das p berechnen

20 Baby-Version von ElGamal Empfänger wählt p und f; veröffentlicht f und P = p f ; p bleibt geheim Sender möchte m schicken, m < P Wählt eine zufällige Zahl s und schickt öffentlich (s bleibt geheim) s f und N = m + s P Empfänger berechnet p s f und dann m = N s P = s P

21 Baby-Version von ElGamal Empfänger wählt p und f und veröffentlicht f und P = p f Sender möchte m schicken, m < P Wählt eine Zahl s und schickt öffentlich s f und N = m + s P Eve kennt s P nicht und weiß nur m N, N P, N 2P, N 3P,

22 Die Details von ElGamal Die Details von ElGamal werde ich in der Vorlesung nicht behandeln, die Folien sind zum Nachlesen

23 Rechnen mod n Grundmenge = 0,1,, n 1, etwa n = 7 Addition, Subtraktion, Multiplikation mod n Bringe Ergebnis durch Restbildung wieder in die Grundmenge 4 6 = 36 1 mod = 11 4 mod 7 n prim, dann gibt es zu jedem a 0 ein b so dass a b 1 mod n und es gibt ein g so dass g, g 2,, g n 1 = 1,, n 1

24 ElGamal Empfänger wählt Primzahl p, Erzeuger g und x, 2 x p 1 und veröffentlicht (p, g, y) wobei y = g x mod p Berechnung von y aus x ist leicht, aber von x aus y ist praktisch unmöglich Sender möchte m schicken, wählt s und schickt (z = g s mod p, N = m y s mod p)

25 ElGamal Empfänger wählt Primzahl p, Erzeuger g und x, 2 x p 1 und veröffentlicht (p, g, y) wobei y = g x mod p Sender möchte m senden, wählt s, sendet (z = g s mod p, N = m y s mod p) Eve kennt y s und weiß nur m N, N y, N/y2, N/y 3,

26 ElGamal Empfänger wählt Primzahl p, Erzeuger g und x, 2 x p 1 und veröffentlicht (p, g, y) wobei y = g x mod p Sender möchte m senden, wählt s, sendet (z = g s mod p, N = m y s mod p) Empfänger berechnet z x = g sx = y s und dann m = N/y s mod p.

27 Electronic Banking Kunde kennt öffentlichen Schlüssel o B der Bank Kunde erfindet geheimen Schlüssel k (256 Bit Zufallszahl) für symmetrisches Verf. Kunde verschlüsselt k mit o B und schickt den verschlüsselten Schlüssel an die Bank Bank entschlüsselt mit Hilfe ihres privaten Schlüssels g B Nun symmetrisches Verfahren mit k. Problem: woher kenne ich den öffentlichen Schlüssel meiner Bank?

28 Unterschriften Eigenschaft: Unterschreiber kann sie nicht abstreiten Zweck: Verbindlichkeit Wie : alles was nur der Unterschreiber kann: Traditionnell: handschriftliche Unterschrift, Fingerabdruck, Nun: Die Funktion D X kann nur die Person X ausführen, weil nur sie ihren geheimen Schlüssel kennt

29 Digitale Signaturen Seien E X und D X die Funktionen von X und gelte E X D X x = x für alle x. Um m zu signieren, berechnet X den String s = D X (m) Das Paar (m,s) ist das unterschriebene m Vertragspartner überprüft dass E X s = m gilt Nur X kann s aus m erzeugen. Also kann X die Unterschrift nicht abstreiten.

30 Digitale Signaturen Signatur = etwas, das nur ich kann m = E o Bob, D g Bob, m o Bob, öffentlich g Bob, privat m E s D m Alice Bob s = Signatur von m

31 Bob möchte m signieren und dann verschlüselt an Alice schicken

32 Electronic Banking, Schritt 1 Bank hinterlegt ihren öffentlichen Schlüssel o B bei einem Trustcenter Kunde kennt (fest eingebaut im Browser) den öffentlichen Schlüssel des TC und fragt nach Schlüssel der Bank TC signiert o B und schickt an Kunden Kunde verifiziert die Unterschrift und benutzt dann o B wie oben beschrieben

33 Zusammenfassung Electronic Banking, Einkaufen im Netz nutzt symmetrische und asymmetrische Kryptographie Kommunikation mit der Bank ist damit geschützt Aber Vorsicht: verschlüsselte Übertragung garantiert noch nicht Gesamtsicherheit, z.b. unsicheres Passwort Mehr dazu in der Vorlesung Sicherheit und Privatheit.

34 Kryptographie (geheim-schreiben) Hauptziele (nach Wolfgang Ertel) Vertraulichkeit / Zugriffsschutz: Nur dazu berechtigte Personen sollen in der Lage sein, die Daten oder die Nachricht zu lesen (auch teilweise). Nachricht/Daten verschlüsseln Integrität / Änderungsschutz: Die Daten müssen nachweislich vollständig und unverändert sein. Nachricht/Daten verschlüsseln oder signieren Authentizität, Verbindlichkeit / Fälschungsschutz, Nichtabstreitbarkeit: Der Urheber der Daten oder der Absender der Nachricht soll eindeutig identifizierbar sein, und seine Urheberschaft sollte nachprüfbar und nicht abstreitbar sein. Nachricht/Daten signieren

35 Speicherung von Passwörtern h = One-Way Funktion, z.b. Blockcypher Sei c = h(passwort von KM) Speichere ungeschützt das Paar (KM, c) KM beweist seine Authentizität durch die Fähigkeit c erzeugen zu können Angriffe: brute-force, da Passworte oft kurz. Abhilfe Maschine für h geht nach 3 inkorrekten Auswertungen kaputt Oder automatische Verlängerung durch Zufallsstring speichere (KM, zufälliges s, h(passwort von KM + s))

36 Ver- und Entschlüsselung Für jeden Nutzer X gibt es ein Paar (E X,D X ) von Funktionen von Σ n nach Σ n mit D X (E x (x)) = x für alle x Die Programme für E X und D X erhält man aus generischen Programmen E und D durch Wahl eines Schlüsselpaars (k e, k d ). Jeder Nutzer hat sein eigenes Paar Dann E X (x) = E(k e,x) und analog für D. E und D sind bijektiv Oft auch noch D E x = x für alle x nützlich für digitale Unterschriften

37 Ver- und Entschlüsselung Σ Alphabet, a z, A Z 0.. 9!? m, Nachricht, Klartext, message, Länge n Für jeden Nutzer X gibt es ein Paar (E X,D X ) von Funktionen von Σ n (Worte der Länge n) nach Σ n mit D X (E x (x)) = x für alle x E X und D X sind durch Programme realisiert. Sei m eine beliebig e Nachricht und c = E X m. Ohne Kenntnis des Programms für D X kann niemand aus c das m bestimmen. (zumindest nicht in fünf Minuten, einem Jahr, 100 Jahren) E X ist One-Way Function E = encode D = decode